Come proteggere i dati dai ransomware e dalla doppia estorsione

I malware sono da sempre i peggiori nemici delle aziende di tutto il mondo e i ransomware, in particolare, sono i più letali. Il blocco dei file delle vittime attraverso la crittografia e la richiesta di un riscatto per decriptarli si è rivelata una tattica efficace per i criminali informatici, come ci viene ricordato dal flusso incessante di attacchi ransomware che avvengono ultimamente. Ma gli aggressori perfezionano costantemente le proprie tattiche e, di recente, hanno adottato il metodo della doppia estorsione, attraverso cui minacciano di diffondere i file sensibili delle vittime per incrementare le probabilità che paghino il riscatto. Gli attacchi alla catena di approvvigionamento in stile Kaseya sono un altro esempio del crescente livello di sofisticatezza dei ransomware. Indipendentemente dalla loro natura, subire un attacco può portare all'interruzione delle attività aziendali, al danneggiamento della reputazione del marchio, a costi finanziari significativi e molto altro.

Gli aggressori sono costantemente alla ricerca di obiettivi facili, che possono attaccare per riuscire a penetrare nelle difese aziendali. Negli ultimi anni, le applicazioni SaaS sono diventate una preda molto accattivante. Le app SaaS sono progettate per consentire la condivisione rapida dei file, la collaborazione e l'automazione. Di conseguenza, una volta inserito il ransomware, quest'ultimo può facilmente diffondersi tra le applicazioni connesse e i dispositivi degli utenti. Inoltre, le app SaaS contengono innumerevoli quantitativi di file che possono essere rubati e utilizzati per la doppia estorsione. Quando vi sono errori di configurazione nelle app SaaS ricche di dati, questi creano delle pericolose lacune, che possono estendere le possibilita' di accesso ai soggetti malintenzionati che desiderano infiltrarsi nell'azienda. Purtroppo, quasi nessuna applicazione SaaS offre una protezione nativa dalle minacce e le poche che la forniscono non dispongono della sofisticatezza tecnologica necessaria per identificare le minacce 0-day; esse si limitano semplicemente a rilevare quelle note. A completare ulteriormente questo quadro vi è il fatto che le tecnologie di sicurezza legacy (in forma di apparecchi hardware on-premise, con una scarsa scalabilità) non sono progettate per difendersi dai malware o per proteggere i dati nel mondo cloud-first in cui si lavora da qualsiasi luogo del mondo.

Le lacune da colmare

Le organizzazioni necessitano di una difesa completa contro la proliferazione di malware e ransomware, sia al loro interno che tra le loro applicazioni SaaS. Ciò richiede l'utilizzo di una soluzione di sicurezza progettata per il mondo moderno e cloud, in grado di difendere dai malware qualsiasi utente, dispositivo e qualsiasi applicazione su qualsiasi rete (senza la necessità di eseguire il backhauling del traffico a un dispositivo on-premise). Tale soluzione deve essere in grado di impedire il caricamento di file infetti nelle applicazioni cloud, ma deve anche essere in grado di identificare le minacce che sono già riuscite a farsi strada attraverso il cloud. Le organizzazioni devono inoltre confidare nel fatto che la soluzione scelta sia in grado di difenderle da qualsiasi minaccia, tra cui i ransomware 0-day, e non solo dai malware noti. Anche in caso di attacchi a doppia estorsione (sempre più comuni), le organizzazioni devono essere in grado di difendere i propri dati dall'esfiltrazione tramite il SaaS.

Controllare la kill chain grazie a Cloud DLP
Quando il ransomware si infiltra con successo in un'organizzazione, i criminali informatici, in genere, iniziano a lavorare rapidamente per appropriarsi dei dati. Come accennato in precedenza, rubare i dati e minacciarne la diffusione è una strategia comune per aumentare la probabilità che le vittime paghino i riscatti. Infatti, qualora le aziende non si sentissero obbligate a pagare per la decrittografia, la minaccia della visibilità dei dati può rivelarsi un incentivo sufficiente. Tuttavia, affinché la doppia estorsione sia efficace, gli autori degli attacchi devono riuscire a esfiltrare i dati dall'azienda. Ed è qui che la prevenzione sulla perdita dei dati cloud (DLP) si rivela particolarmente preziosa. Le principali soluzioni DLP esaminano il contenuto e il contesto dei file in uscita e ne impediscono il movimento, se necessario, per evitare fuoriuscite. Ciò interrompe la catena di attacco, impedendo ai malintenzionati di rubare i dati dalle app SaaS che consentirebbero loro di lanciare un attacco a doppia estorsione.

In che modo il CASB aiuta contro i ransomware

Anche i CASB (Cloud Access Security Broker), che fungono da punti di visibilità e di controllo nel cloud, possono aiutare a risolvere la sfida dei ransomware. In particolare, un CASB multimodale funge da proxy del traffico per proteggere in tempo reale i dati in movimento e si integra con le API (Application Programming Interface) per proteggere i dati a riposo nel cloud. Di conseguenza, è in grado di impedire il caricamento dei file dannosi nelle applicazioni SaaS, nonché di rispondere a malware e ransomware già presenti all'interno delle app cloud aziendali. I principali CASB forniscono protezione da una minaccia avanzata (ATP), in grado di identificare qualsiasi minaccia, anche i ransomware 0-day, attraverso strette integrazioni con la sandbox cloud. In qualità di soluzioni nate sul cloud, i CASB più importanti non richiedono apparecchi hardware nei data center e offrono protezioni scalabili e onnipresenti.

Correggere gli errori di configurazione attraverso soluzioni CSPM

Durante la distribuzione e la gestione di un'applicazione SaaS o di un'istanza IaaS, vi sono molteplici impostazioni di configurazione che devono essere applicate adeguatamente per garantire che l'app funzioni correttamente e in modo sicuro. Laddove si verifichino degli errori di configurazione, gli attori malintenzionati possono accedere ai sistemi aziendali, ad esempio, per posizionare un carico utile ransomware o per esfiltrare i dati per lanciare attacchi di doppia estorsione. La soluzione CSPM (Cloud Security Posture Management) può rispondere a tali vulnerabilità, identificando i costosi errori di configurazione che potrebbero essere sfruttati dagli aggressori. Come esempio illustrativo, se, a causa di un errore di configurazione, fosse possibile accedere liberamente da Internet agli archivi dei dati sensibili (come i bucket di archiviazione di AWS S3), questo problema potrebbe essere individuato e risolto rapidamente.

Scegliere l'approccio di protezione corretto

Un approccio integrato aiuta a bloccare i ransomware in tutte le fasi della kill chain, senza la complessità derivante dalla distribuzione e dalla gestione di più prodotti. I servizi di Cloud DLP, CASB e CSPM di Zscaler sono componenti fondamentali della soluzione integrata Zero Trust Exchange, insieme alle tecnologie all'avanguardia di SWG e ZTNA. In altre parole, Zscaler offre alle aziende tutto il necessario affinché possano difendersi in modo completo da malware e ransomware e soddisfare i propri requisiti di SASE (Secure Access Service Edge).

La DLP aziendale fornisce funzionalità estese e mirate, necessarie per arrestare l'esfiltrazione dei dati e ostacolare la doppia estorsione, sfruttando strumenti quali dizionari predefiniti e personalizzabili, Exact Data Match (EDM) e Indexed Document Matching (IDM). Il CASB multimodale di Zscaler protegge le app SaaS aziendali dalle infezioni di malware e ransomware; le minacce in transito vengono rilevate e bloccate in tempo reale tramite proxy, mentre i file dannosi a riposo possono essere identificati e messi in quarantena o eliminati tramite API. La tecnologia di protezione da una minaccia avanzata (ATP) è ridefinita attraverso 160 miliardi di transazioni giornaliere sulla piattaforma e 100 milioni di minacce rilevate ogni giorno. Zscaler Cloud Sandbox, grazie al supporto dell'apprendimento automatico, identifica e blocca in modo sicuro le minacce 0-day, sia durante il caricamento che a riposo. La soluzione CSPM della piattaforma analizza le istanze SaaS e IaaS alla ricerca di errori potenzialmente fatali che potrebbero consentire attacchi, assegna le priorità ai rischi individuati e consente alle organizzazioni di rispondere prima che i malintenzionati possano agire. 

Vuoi leggere di più su come Zscaler può aiutarti a proteggerti dai ransomware? Scopri di più qui. 

Per ricevere ulteriori informazioni su come Zscaler può aiutare a proteggere i dati sensibili, scarica il nostro eBook.